| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: Neuinstallation nach TR/Cryptet.xpack.gen2 und Rootkit Viren, Schädlinge immer noch vorhandenWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
 |
12.01.2011, 20:49
| #1 |
| |  Neuinstallation nach TR/Cryptet.xpack.gen2 und Rootkit Viren, Schädlinge immer noch vorhanden Hallo an Alle, Ich habe ein Großes Problem und hoffe, dass ich hier ein wenig hilfe finde. Ich selbst bin mit meinem Latein am ende. Ich hatten auf Meinem Acer Laptop (WinXP SP3, Avira) Mehere Schädlinge. Den TR/Cryptet.Xpack.gen2 nen Rootkit.tdl3 und nen TDSS.tdl4 Ich hatte diese mit Hilfe von Kaspersky TDSS.Killer und einem anderen Tool dessen Namen ich nicht mehr weiss gelöscht. Um auf Nummer sicher zu gehen habe ich heute mein System mit der Acer Wiederherstellungskonsole auf der Gesperrten Partition wiederhergestellt. Einige Dateien die mir aber während der suche nachen den anderen Schädlingen aufgefallen sind, sind aber wieder vorhanden, das Internet is nach wie vor lahm, und ich muss manche Seiten teilweise 30 eingeben um darauf zugreifen zu können. Es wurde damals auch ein Trojaner in C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\Lyloel\rici.exe gefunden Die Dateien die mir nach dem Neuaufsetzen direkt aufgefallen sind sind : In C:\Windows\Temp\CLML_AGENT_LOG1.txt C:\Windows\Temp\sqlite_MuhQ9l6YU9gkTdj wobei sqlite_ mehrfach vorkommt mit verschiedenen zufälligen endungen Diese Dateien kann ich nicht verschieben und Löschen, beim Löschen, entsteht sofort eine neue sqlite Datei mit anderer Endung, und es wird ein Ordner erstellt, der sofort von Avirs als TR/Cryptet.Xpack.gen2 erkannt wird. Diese waren vor dem Formatieren auch schon vorhanden und machten Ärger. Was mir gerade noch Einfällt, ich habe mein System mit Antivir, NAV, Malwarebytes und OTL gesannt und keine der Scanner hat damals was gefunden. Leider habe ich keine Logs mehr, da ich davon ausgeganen bin, dass dieses Problem nach dem Neuaufsetzen verschwunden ist. Dem ist aber wohl nicht so. Mein Anliegen wäre, mit Fachkundiger Hilfe das System erst mal Entwurmen um es dann komplett neuaufzusetzen. Soweit ist das alles was mir gerade einfällt. Sollte ich was vergessen haben, bitte nicht schlagen, ich doch neu hier ;-) Ich mache gerade einen Systemscan mit Mbam und OTL, die Logs hänge ich an, sobald sie fertig sind. Und jetz Bendanke ich micht schon mal im Vorraus für jeden Fetzen Hilfe den ich kriegen kann. Schönen Abend noch. Edit: Habe jetze noch ein HijackThis Log angehängt, ich hoffe damit schon ein wenig arbeit vorneweggenommen zu haben. Ich werden jetz noch andere Scanner drüberlaufenlassen. Die logs Speichern und auf das Fixen vorerst noch verzichten. Geändert von MoC-Man (12.01.2011 um 21:09 Uhr) |
|
12.01.2011, 21:23
| #2 |
| /// Winkelfunktion /// TB-Süch-Tiger™   | Neuinstallation nach TR/Cryptet.xpack.gen2 und Rootkit Viren, Schädlinge immer noch vorhanden Hallo,
__________________ich habs schon ein paar mal erlebt, dass durch das Recovern keiner neuer MBR geschrieben wurde. Wenn der auch infiziert wurde bringt das Recovern nicht viel. Downloade Dir bitte MBRCheck (by a_d_13) und speichere die Datei auf dem Desktop.
__________________ |
|
12.01.2011, 21:35
| #3 |
| | Neuinstallation nach TR/Cryptet.xpack.gen2 und Rootkit Viren, Schädlinge immer noch vorhanden Hallo Cosinus und Danke für die Hilfe
__________________Ich habe das Programm ausgeführt. Er Meldet einen Infizierten MBR Ich habe 3 Möglichkeiten, welche soll ich nehmen? 1 Dump the Infectet File 2 Restore 3 Exit Bei 2 Fragt er nach einer nummer des Physikalischen Datenträgers, was ist das? Mfg |
|
12.01.2011, 21:37
| #4 |
| | Neuinstallation nach TR/Cryptet.xpack.gen2 und Rootkit Viren, Schädlinge immer noch vorhanden Sorry für Doppelpost. Es braucht, ca 20 anläufe bis ich meine Posts schicken kann, manche kommen scheinbar doch durch obwohl es mir einen abbruch anzeigt. Also ich hab jetz folgendes ausgeführt. MBR.check - Auf fix - die 2 Partitionen meiner Platte - und dort die 1 für XP Code:
ATTFilter MBRCheck, version 1.2.3
(c) 2010, AD
Command-line:
Windows Version: Windows XP Home Edition
Windows Information: Service Pack 2 (build 2600)
Logical Drives Mask: 0x0000003c
Kernel Drivers (total 195):
0x804D7000 \WINDOWS\system32\ntkrnlpa.exe
0x806E3000 \WINDOWS\system32\hal.dll
0xBADA8000 \WINDOWS\system32\KDCOM.DLL
0xBACB8000 \WINDOWS\system32\BOOTVID.dll
0xBA778000 ACPI.sys
0xBADAA000 \WINDOWS\system32\DRIVERS\WMILIB.SYS
0xBA767000 pci.sys
0xBA8A8000 isapnp.sys
0xBA8B8000 ohci1394.sys
0xBA8C8000 \WINDOWS\system32\DRIVERS\1394BUS.SYS
0xBACBC000 compbatt.sys
0xBACC0000 \WINDOWS\system32\DRIVERS\BATTC.SYS
0xBAE70000 pciide.sys
0xBAB28000 \WINDOWS\system32\DRIVERS\PCIIDEX.SYS
0xBADAC000 aliide.sys
0xBADAE000 intelide.sys
0xBADB0000 toside.sys
0xBADB2000 viaide.sys
0xBADB4000 cmdide.sys
0xBA749000 pcmcia.sys
0xBA8D8000 MountMgr.sys
0xBA72A000 ftdisk.sys
0xBACC4000 ACPIEC.sys
0xBAE71000 \WINDOWS\system32\DRIVERS\OPRGHDLR.SYS
0xBAB30000 PartMgr.sys
0xBACC8000 UBHelper.sys
0xBA8E8000 VolSnap.sys
0xBACCC000 cpqarray.sys
0xBA712000 \WINDOWS\system32\DRIVERS\SCSIPORT.SYS
0xBA6FA000 atapi.sys
0xBACD0000 aha154x.sys
0xBAB38000 sparrow.sys
0xBACD4000 symc810.sys
0xBA8F8000 aic78xx.sys
0xBACD8000 dac960nt.sys
0xBA908000 ql10wnt.sys
0xBACDC000 amsint.sys
0xBAB40000 asc.sys
0xBACE0000 asc3550.sys
0xBAB48000 mraid35x.sys
0xBAB50000 i2omp.sys
0xBACE4000 ini910u.sys
0xBA918000 ql1240.sys
0xBA928000 aic78u2.sys
0xBAB58000 symc8xx.sys
0xBAB60000 sym_hi.sys
0xBAB68000 sym_u3.sys
0xBAB70000 ABP480N5.SYS
0xBAB78000 asc3350p.sys
0xBADB6000 cd20xrnt.sys
0xBA938000 ultra.sys
0xBA6E1000 adpu160m.sys
0xBAB80000 dpti2o.sys
0xBA948000 ql1080.sys
0xBA958000 ql1280.sys
0xBA968000 ql12160.sys
0xBAB88000 perc2.sys
0xBADB8000 perc2hib.sys
0xBAB90000 hpn.sys
0xBACE8000 cbidf2k.sys
0xBA6B5000 dac2w2k.sys
0xBA978000 disk.sys
0xBA988000 \WINDOWS\system32\DRIVERS\CLASSPNP.SYS
0xBA696000 fltMgr.sys
0xBA684000 sr.sys
0xBA661000 Fastfat.sys
0xBA64A000 KSecDD.sys
0xBA61D000 NDIS.sys
0xBA998000 sisagp.sys
0xBA9A8000 viaagp.sys
0xBA602000 Mup.sys
0xBA9B8000 agp440.sys
0xBA9C8000 alim1541.sys
0xBA9D8000 amdagp.sys
0xBA9E8000 agpCPQ.sys
0xBAA08000 \SystemRoot\system32\DRIVERS\intelppm.sys
0xBAD6C000 \SystemRoot\system32\DRIVERS\wmiacpi.sys
0xBA16D000 \SystemRoot\system32\DRIVERS\nv4_mini.sys
0xBA159000 \SystemRoot\system32\DRIVERS\VIDEOPRT.SYS
0xBA134000 \SystemRoot\system32\DRIVERS\HDAudBus.sys
0xBA111000 \SystemRoot\system32\DRIVERS\b57xp32.sys
0xB9FB4000 \SystemRoot\system32\DRIVERS\w39n51.sys
0xBAC00000 \SystemRoot\system32\DRIVERS\usbuhci.sys
0xB9F91000 \SystemRoot\system32\DRIVERS\USBPORT.SYS
0xBAC08000 \SystemRoot\system32\DRIVERS\usbehci.sys
0xBAA18000 \SystemRoot\system32\DRIVERS\nic1394.sys
0xBAA28000 \SystemRoot\system32\DRIVERS\EMS7SK.sys
0xB9F80000 \SystemRoot\system32\DRIVERS\sdbus.sys
0xB9F6D000 \SystemRoot\system32\DRIVERS\ESM7SK.sys
0xBAA38000 \SystemRoot\system32\DRIVERS\ESD7SK.sys
0xBAD80000 \SystemRoot\system32\DRIVERS\CmBatt.sys
0xBAA48000 \SystemRoot\system32\DRIVERS\i8042prt.sys
0xBAC10000 \SystemRoot\system32\DRIVERS\DKbFltr.sys
0xBAC18000 \SystemRoot\system32\DRIVERS\kbdclass.sys
0xB9F16000 \SystemRoot\system32\DRIVERS\SynTP.sys
0xBADBA000 \SystemRoot\system32\DRIVERS\USBD.SYS
0xBAC20000 \SystemRoot\system32\DRIVERS\mouclass.sys
0xBAA58000 \SystemRoot\system32\DRIVERS\smcirda.sys
0xBAD84000 \SystemRoot\system32\DRIVERS\irenum.sys
0xBAA68000 \SystemRoot\system32\DRIVERS\imapi.sys
0xBAA78000 \SystemRoot\system32\DRIVERS\cdrom.sys
0xBAA88000 \SystemRoot\system32\DRIVERS\redbook.sys
0xB9E53000 \SystemRoot\system32\DRIVERS\ks.sys
0xBADBC000 \SystemRoot\system32\DRIVERS\NTIDrvr.sys
0xB9D87000 \SystemRoot\system32\DRIVERS\btkrnl.sys
0xBAF29000 \SystemRoot\system32\DRIVERS\audstub.sys
0xBAC28000 \SystemRoot\system32\DRIVERS\rasirda.sys
0xBAC30000 \SystemRoot\system32\DRIVERS\TDI.SYS
0xBAA98000 \SystemRoot\system32\DRIVERS\rasl2tp.sys
0xBAD94000 \SystemRoot\system32\DRIVERS\ndistapi.sys
0xB9D70000 \SystemRoot\system32\DRIVERS\ndiswan.sys
0xBAAA8000 \SystemRoot\system32\DRIVERS\raspppoe.sys
0xBAAB8000 \SystemRoot\system32\DRIVERS\raspptp.sys
0xB9D5F000 \SystemRoot\system32\DRIVERS\psched.sys
0xBAAC8000 \SystemRoot\system32\DRIVERS\msgpc.sys
0xBAC38000 \SystemRoot\system32\DRIVERS\ptilink.sys
0xBAC40000 \SystemRoot\system32\DRIVERS\raspti.sys
0xBAAD8000 \SystemRoot\system32\DRIVERS\termdd.sys
0xBADBE000 \SystemRoot\system32\DRIVERS\swenum.sys
0xB9D2B000 \SystemRoot\system32\DRIVERS\update.sys
0xBAD9C000 \SystemRoot\system32\DRIVERS\mssmbios.sys
0xB9CDD000 \SystemRoot\system32\drivers\btaudio.sys
0xB9CB9000 \SystemRoot\system32\drivers\portcls.sys
0xBAAE8000 \SystemRoot\system32\drivers\drmk.sys
0xBAAF8000 \SystemRoot\System32\Drivers\NDProxy.SYS
0xB7883000 \SystemRoot\system32\drivers\RtkHDAud.sys
0xB784D000 \SystemRoot\system32\DRIVERS\HSFHWAZL.sys
0xB7759000 \SystemRoot\system32\DRIVERS\HSF_DPV.sys
0xB76A8000 \SystemRoot\system32\DRIVERS\HSF_CNXT.sys
0xBAC48000 \SystemRoot\System32\Drivers\Modem.SYS
0xBAB18000 \SystemRoot\system32\DRIVERS\usbhub.sys
0xBADC4000 \SystemRoot\System32\Drivers\i2omgmt.SYS
0xBADC6000 \SystemRoot\System32\Drivers\Fs_Rec.SYS
0xBAF8F000 \SystemRoot\System32\Drivers\Null.SYS
0xBADC8000 \SystemRoot\System32\Drivers\Beep.SYS
0xBAC68000 \SystemRoot\System32\drivers\vga.sys
0xBADCA000 \SystemRoot\System32\Drivers\mnmdd.SYS
0xBADCC000 \SystemRoot\System32\DRIVERS\RDPCDD.sys
0xBAC70000 \SystemRoot\System32\Drivers\Msfs.SYS
0xBAC78000 \SystemRoot\System32\Drivers\Npfs.SYS
0xBA512000 \SystemRoot\system32\DRIVERS\rasacd.sys
0xB755D000 \SystemRoot\system32\DRIVERS\ipsec.sys
0xB7505000 \SystemRoot\system32\DRIVERS\tcpip.sys
0xB74E4000 \SystemRoot\system32\DRIVERS\ipnat.sys
0xB74A9000 \SystemRoot\System32\Drivers\SYMTDI.SYS
0xB7487000 \??\C:\Programme\Symantec\SYMEVENT.SYS
0xB745F000 \SystemRoot\system32\DRIVERS\netbt.sys
0xB743D000 \SystemRoot\System32\drivers\afd.sys
0xBA5D2000 \SystemRoot\system32\DRIVERS\netbios.sys
0xB73DB000 \??\C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCDrv.sys
0xBA502000 \SystemRoot\system32\DRIVERS\hidusb.sys
0xBA5C2000 \SystemRoot\system32\DRIVERS\HIDCLASS.SYS
0xBAC90000 \SystemRoot\system32\DRIVERS\HIDPARSE.SYS
0xB73AF000 \SystemRoot\system32\DRIVERS\rdbss.sys
0xB9F69000 \??\C:\WINDOWS\system32\drivers\OsaFsLoc.sys
0xB7340000 \SystemRoot\system32\DRIVERS\mrxsmb.sys
0xBA5B2000 \SystemRoot\System32\Drivers\Fips.SYS
0xB728B000 \SystemRoot\System32\Drivers\Ntfs.SYS
0xBA592000 \SystemRoot\system32\DRIVERS\wanarp.sys
0xBA582000 \SystemRoot\system32\DRIVERS\arp1394.sys
0xBAC98000 \SystemRoot\system32\DRIVERS\USBSTOR.SYS
0xB9CB5000 \SystemRoot\system32\DRIVERS\mouhid.sys
0xBA572000 \SystemRoot\System32\Drivers\Cdfs.SYS
0xB7273000 \SystemRoot\System32\Drivers\dump_atapi.sys
0xBADCE000 \SystemRoot\System32\Drivers\dump_WMILIB.SYS
0xBF800000 \SystemRoot\System32\win32k.sys
0xBACA0000 \SystemRoot\System32\watchdog.sys
0xB9CAD000 \SystemRoot\System32\drivers\Dxapi.sys
0xBF9C1000 \SystemRoot\System32\drivers\dxg.sys
0xBAF0B000 \SystemRoot\System32\drivers\dxgthk.sys
0xBF9D3000 \SystemRoot\System32\nv4_disp.dll
0xBACA8000 \SystemRoot\system32\DRIVERS\AegisP.sys
0xB5EE4000 \SystemRoot\system32\DRIVERS\irda.sys
0xB6022000 \SystemRoot\system32\DRIVERS\s24trans.sys
0xB600A000 \SystemRoot\system32\DRIVERS\ndisuio.sys
0xB59DF000 \SystemRoot\system32\DRIVERS\mrxdav.sys
0xB59A2000 \SystemRoot\system32\drivers\wdmaud.sys
0xB5BBC000 \SystemRoot\system32\drivers\sysaudio.sys
0xBACB0000 \??\C:\WINDOWS\system32\drivers\btserial.sys
0xBAFA1000 \??\C:\WINDOWS\system32\drivers\epm-psd.sys
0xB575D000 \??\C:\WINDOWS\system32\drivers\epm-shd.sys
0xB5642000 \SystemRoot\system32\DRIVERS\srv.sys
0xB5977000 \SystemRoot\system32\DRIVERS\mdmxsdk.sys
0xBAE62000 \??\C:\WINDOWS\system32\drivers\osaio.sys
0xBAF5A000 \??\C:\WINDOWS\system32\drivers\osanbm.sys
0xB5246000 \??\C:\Programme\Norton AntiVirus\SAVRTPEL.SYS
0xBABD0000 \??\C:\WINDOWS\system32\drivers\symlcbrd.sys
0xB5166000 \SystemRoot\System32\Drivers\SYMREDRV.SYS
0xB4BFC000 \??\C:\Programme\Norton AntiVirus\SAVRT.SYS
0xB4B5A000 \??\C:\PROGRA~1\GEMEIN~1\SYMANT~1\VIRUSD~1\20051012.006\NAVEX15.SYS
0xB4B48000 \??\C:\PROGRA~1\GEMEIN~1\SYMANT~1\VIRUSD~1\20051012.006\NAVENG.SYS
0xB4B07000 \SystemRoot\System32\Drivers\HTTP.sys
0xBAE0E000 \SystemRoot\System32\Drivers\NdisFilt.sys
0xB4ACE000 \??\C:\Acer\Empowering Technology\eRecovery\int15.sys
0x7C910000 \WINDOWS\System32\ntdll.dll
Processes (total 55):
0 System Idle Process
4 System
436 C:\WINDOWS\System32\smss.exe
856 csrss.exe
884 C:\WINDOWS\System32\winlogon.exe
928 C:\WINDOWS\System32\services.exe
940 C:\WINDOWS\System32\lsass.exe
1084 C:\WINDOWS\System32\svchost.exe
1168 svchost.exe
1208 C:\WINDOWS\System32\svchost.exe
1276 C:\Programme\Intel\Wireless\Bin\EvtEng.exe
1300 C:\Programme\Intel\Wireless\Bin\S24EvMon.exe
1408 svchost.exe
1476 svchost.exe
1860 C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
1996 C:\WINDOWS\Explorer.EXE
2020 C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
256 C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
668 C:\WINDOWS\System32\spoolsv.exe
780 C:\Acer\Empowering Technology\admServ.exe
1396 svchost.exe
1508 C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
988 C:\Programme\Acer\Acer Arcade\Kernel\TV\CLCapSvc.exe
1704 C:\Programme\Acer\Acer Arcade\Kernel\CLML_NTService\CLMLServer.exe
1592 C:\Programme\Acer\Acer Arcade\Kernel\CLML_NTService\CLMLService.exe
1756 C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
1828 C:\Programme\Synaptics\SynTP\SynTPEnh.exe
1920 C:\Programme\Acer\Acer Arcade\PCMService.exe
168 C:\Programme\Norton AntiVirus\navapsvc.exe
512 C:\Programme\QuickTime\qttask.exe
516 C:\Acer\Empowering Technology\eDataSecurity\eDSloader.exe
544 C:\Acer\Empowering Technology\admtray.exe
580 C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
816 C:\Programme\Norton AntiVirus\IWP\NPFMntor.exe
860 C:\WINDOWS\System32\nvsvc32.exe
1124 C:\WINDOWS\RTHDCPL.EXE
1404 C:\Programme\Intel\Wireless\Bin\RegSrvc.exe
1492 C:\Programme\CyberLink\Shared Files\RichVideo.exe
1744 C:\WINDOWS\System32\RUNDLL32.EXE
1884 C:\WINDOWS\System32\RUNDLL32.EXE
1916 C:\Acer\Empowering Technology\ePower\ePower_DMC.exe
2168 C:\Programme\Launch Manager\LManager.exe
2220 C:\Acer\Empowering Technology\eRecovery\Monitor.exe
2288 C:\WINDOWS\System32\ctfmon.exe
2348 C:\Programme\Acer\Acer Arcade\Kernel\TV\CLSched.exe
2352 C:\Programme\Messenger\msmsgs.exe
2500 C:\Programme\WIDCOMM\Bluetooth Software\BTTray.exe
3204 wmiprvse.exe
3252 C:\WINDOWS\System32\wbem\unsecapp.exe
3332 wmiprvse.exe
3364 C:\Dokumente und Einstellungen\MoC\Lokale Einstellungen\Temp\RtkBtMnt.exe
3980 alg.exe
3656 C:\WINDOWS\System32\wuauclt.exe
3580 C:\Programme\Mozilla Firefox\firefox.exe
3420 C:\Dokumente und Einstellungen\MoC\Desktop\MBRCheck.exe
\\.\C: --> \\.\PhysicalDrive0 at offset 0x00000001`384c7a00 (FAT32)
\\.\D: --> \\.\PhysicalDrive0 at offset 0x0000000e`85adbe00 (NTFS)
\\.\F: --> \\.\PhysicalDrive1 at offset 0x00000000`00007e00 (NTFS)
PhysicalDrive0 Model Number: TOSHIBAMK1234GSX, Rev: AH001A
PhysicalDrive1 Model Number: ToshibaStorE HDD, Rev:
Size Device Name MBR Status
--------------------------------------------
111 GB \\.\PhysicalDrive0 Unknown MBR code
SHA1: 6A37CCD118436B688B51F6BD4C2B47A895EBDF7F
465 GB \\.\PhysicalDrive1 MBR Code Faked!
SHA1: EE090A7417B01D4EA752D4996173A8477699C9C6
Found non-standard or infected MBR.
Enter 'Y' and hit ENTER for more options, or 'N' to exit:
Options:
[1] Dump the MBR of a physical disk to file.
[2] Restore the MBR of a physical disk with a standard boot code.
[3] Exit.
Enter your choice: Enter the physical disk number to fix (0-99, -1 to cancel): 0Available MBR codes:
[ 0] Default (Windows XP)
[ 1] Windows XP
[ 2] Windows Server 2003
[ 3] Windows Vista
[ 4] Windows 2008
[ 5] Windows 7
[-1] Cancel
Please select the MBR code to write to this drive: 1
Do you want to fix the MBR code? Type 'YES' and hit ENTER to continue: yes
Successfully wrote new MBR code!
Please reboot your computer to complete the fix.
Done!
Edit: So ich hab als letzte Aktion für heute den MBRCheck zur sicherheit nochmal aufgeführt und siehe da, der Infizierte MBR ist immer noch da und lässt sich nicht ändern ( Ich habe MBRCheck 5x ausgeführt, jeweils mit Neustart, jedesmal meldet das Programm Size Device Name MBR Status -------------------------------------------- 111 GB \\.\PhysicalDrive0 Unknown MBR code SHA1: 6A37CCD118436B688B51F6BD4C2B47A895EBDF7F 465 GB \\.\PhysicalDrive1 MBR Code Faked! SHA1: EE090A7417B01D4EA752D4996173A8477699C9C6) was auch nicht stimmen kann, da ich nur eine 120GB Hdd verbaut habe. Danke und Gute Nacht allerseits! Geändert von MoC-Man (12.01.2011 um 22:28 Uhr) |
|
12.01.2011, 22:38
| #5 | |
| /// Winkelfunktion /// TB-Süch-Tiger™ | Neuinstallation nach TR/Cryptet.xpack.gen2 und Rootkit Viren, Schädlinge immer noch vorhandenZitat:
Die andere Platte könnte eine 500GB ext. Platte sein. Um den MBR zu fixen: Am besten du installierst dir die Wiederherstellungskonsole. Wenn du eine Windows-XP-CD hast, kannst du diese davon installieren oder direkt die WHK von der CD starten. Wenn du keine CD hast, können wir mit Combofix die WHK installieren: ComboFix Ein Leitfaden und Tutorium zur Nutzung von ComboFix
Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
__________________ Logfiles bitte immer in CODE-Tags posten  |
|
13.01.2011, 07:32
| #6 |
| | Neuinstallation nach TR/Cryptet.xpack.gen2 und Rootkit Viren, Schädlinge immer noch vorhanden Guten Morgen. Hab heute früh erstmal den MBRCheck nochmal laufen lassen. Diesesmal fand er keinen Infekt mehr, sondern nur noch einen ungültigen MBR. Log kann ich posten, falls erwünscht. Dannach hab ich CCleaner ausgeführt. Und Combofix ( Jetzt wo du den Namen sagtes, ist mir wieder eingefallen, dass dieses Programm vor der Neuinstallation, das Programm war das die Schadsoftware als einziges gefunden hatte. Leider aber scheinbar nicht entfernen konnte.) Hier der Log Code:
ATTFilter ComboFix 11-01-12.03 - MoC 13.01.2011 7:11.1.2 - FAT32x86
Microsoft Windows XP Home Edition 5.1.2600.2.1252.49.1031.18.3070.2541 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\MoC\Desktop\CoFi.exe
AV: Norton AntiVirus 2006 *Disabled/Updated* {E10A9785-9598-4754-B552-92431C1C35F8}
FW: Norton Internet Worm Protection *Enabled* {990F9400-4CEE-43EA-A83A-D013ADD8EA6E}
.
(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.
c:\programme\WinPCap
c:\programme\WinPCap\daemon_mgm.exe
c:\programme\WinPCap\npf_mgm.exe
c:\programme\WinPCap\rpcapd.exe
c:\windows\fix.exe
c:\windows\system32\drivers\npf.sys
c:\windows\system32\Packet.dll
c:\windows\system32\pthreadVC.dll
c:\windows\system32\WanPacket.dll
c:\windows\system32\wpcap.dll
.
((((((((((((((((((((((((((((((((((((((( Treiber/Dienste )))))))))))))))))))))))))))))))))))))))))))))))))
.
-------\Service_NPF
((((((((((((((((((((((( Dateien erstellt von 2010-12-13 bis 2011-01-13 ))))))))))))))))))))))))))))))
.
2011-01-13 06:06 . 2011-01-13 06:06 -------- d-----w- c:\programme\CCleaner
2011-01-13 06:02 . 2011-01-13 06:02 -------- d-----w- c:\windows\ServicePackFiles
2011-01-13 06:01 . 2011-01-13 06:01 -------- d-----w- c:\programme\MSXML 4.0
2011-01-13 06:00 . 2011-01-13 06:00 -------- d-----w- c:\windows\LastGood.Tmp
2011-01-12 21:28 . 2010-02-12 10:03 293376 ------w- c:\windows\system32\browserchoice.exe
2011-01-12 21:21 . 2011-01-12 21:21 -------- d-----w- C:\FOUND.000
2011-01-12 20:01 . 2011-01-12 20:02 -------- d-----w- c:\programme\Trend Micro
2011-01-12 18:46 . 2010-12-20 17:09 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2011-01-12 18:46 . 2011-01-12 18:46 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2011-01-12 18:46 . 2011-01-12 18:46 -------- d-----w- c:\programme\Malwarebytes' Anti-Malware
2011-01-12 18:46 . 2010-12-20 17:08 20952 ----a-w- c:\windows\system32\drivers\mbam.sys
2011-01-12 18:20 . 2004-08-04 04:00 26496 ----a-w- c:\windows\system32\dllcache\usbstor.sys
2011-01-12 18:20 . 2011-01-12 18:20 -------- d-----w- c:\dokumente und einstellungen\NetworkService\Startmenü
2011-01-12 16:10 . 2011-01-12 16:10 -------- d-----w- c:\windows\Acer
2011-01-12 16:08 . 2005-09-26 15:40 258048 ----a-w- c:\windows\system32\Uninstall_eRecovery.exe
2011-01-12 16:05 . 2006-01-23 11:41 78208 ----a-w- c:\windows\system32\drivers\epm-shd.sys
2011-01-12 16:05 . 2006-01-23 11:41 4096 ----a-w- c:\windows\system32\drivers\epm-psd.sys
2011-01-12 16:04 . 2011-01-12 16:04 21275 ----a-w- c:\windows\system32\drivers\AegisP.sys
2011-01-12 16:04 . 2011-01-12 16:04 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Intel
2011-01-12 16:04 . 2006-04-10 09:09 61440 ----a-w- c:\windows\system32\acerGina.dll
2011-01-12 16:03 . 2011-01-12 16:04 -------- d-----w- c:\programme\Launch Manager
2011-01-12 16:03 . 2004-12-09 11:04 5120 ----a-w- c:\windows\system32\FILTRCOI.DLL
2011-01-12 16:03 . 2004-12-08 13:10 16896 ----a-w- c:\windows\system32\drivers\DKbFltr.SYS
2011-01-12 16:03 . 2005-10-03 16:21 225350 ----a-w- c:\windows\system32\Epm-Po.dll
2011-01-12 16:00 . 2004-08-04 04:00 100992 ----a-w- c:\windows\system32\drivers\bthpan.sys
2011-01-12 16:00 . 2004-08-04 04:00 100992 ----a-w- c:\windows\system32\dllcache\bthpan.sys
2011-01-12 16:00 . 2004-08-04 04:00 59648 ----a-w- c:\windows\system32\drivers\rfcomm.sys
2011-01-12 16:00 . 2004-08-04 04:00 59648 ----a-w- c:\windows\system32\dllcache\rfcomm.sys
2011-01-12 16:00 . 2004-08-04 04:00 17024 ----a-w- c:\windows\system32\drivers\BthEnum.sys
2011-01-12 16:00 . 2004-08-04 04:00 17024 ----a-w- c:\windows\system32\dllcache\bthenum.sys
2011-01-12 16:00 . 2011-01-12 16:00 -------- d-----w- c:\programme\WIDCOMM
2011-01-12 16:00 . 2004-08-04 04:00 275200 ----a-w- c:\windows\system32\drivers\bthport.sys
2011-01-12 16:00 . 2004-08-04 04:00 275200 ----a-w- c:\windows\system32\dllcache\bthport.sys
2011-01-12 16:00 . 2004-08-04 04:00 18944 ----a-w- c:\windows\system32\drivers\BTHUSB.SYS
2011-01-12 16:00 . 2004-08-04 04:00 18944 ----a-w- c:\windows\system32\dllcache\bthusb.sys
2011-01-12 15:58 . 2006-01-05 01:17 180224 ----a-w- c:\windows\system32\NVUNINST.EXE
2011-01-12 15:58 . 2003-11-10 17:14 729088 ----a-w- c:\programme\Gemeinsame Dateien\InstallShield\Professional\RunTime\09\01\Intel32\iKernel.dll
2011-01-12 15:58 . 2003-11-10 17:13 69715 ----a-w- c:\programme\Gemeinsame Dateien\InstallShield\Professional\RunTime\09\01\Intel32\ctor.dll
2011-01-12 15:58 . 2003-11-10 17:12 266240 ----a-w- c:\programme\Gemeinsame Dateien\InstallShield\Professional\RunTime\09\01\Intel32\iscript.dll
2011-01-12 15:58 . 2003-11-10 17:12 192512 ----a-w- c:\programme\Gemeinsame Dateien\InstallShield\Professional\RunTime\09\01\Intel32\iuser.dll
2011-01-12 15:58 . 2003-11-10 17:11 5632 ----a-w- c:\programme\Gemeinsame Dateien\InstallShield\Professional\RunTime\09\01\Intel32\DotNetInstaller.exe
2011-01-12 15:58 . 2011-01-12 15:58 188548 ----a-w- c:\programme\Gemeinsame Dateien\InstallShield\Professional\RunTime\09\01\Intel32\iGdi.dll
2011-01-12 15:58 . 2011-01-12 15:58 311428 ----a-w- c:\programme\Gemeinsame Dateien\InstallShield\Professional\RunTime\09\01\Intel32\setup.dll
2011-01-12 15:57 . 2011-01-12 15:57 -------- d-----w- c:\dokumente und einstellungen\MoC
2011-01-12 15:56 . 2006-06-28 01:16 -------- d-----w- c:\windows\system32\config\systemprofile\Lokale Einstellungen\Anwendungsdaten\WMTools Downloaded Files
2011-01-12 15:56 . 2005-02-15 02:01 -------- d-----w- c:\windows\system32\config\systemprofile\Lokale Einstellungen\Anwendungsdaten\Acer Arcade
2011-01-12 15:56 . 2005-02-14 11:26 -------- d-----w- c:\windows\system32\config\systemprofile\Lokale Einstellungen\Anwendungsdaten\ApplicationHistory
2011-01-12 15:47 . 2001-08-18 03:22 12288 ----a-w- c:\windows\system32\drivers\mouhid.sys
2011-01-12 15:47 . 2004-08-04 04:00 9600 ----a-w- c:\windows\system32\drivers\hidusb.sys
2011-01-12 15:47 . 2011-01-12 15:47 -------- d-----w- c:\windows\nview
2011-01-12 15:47 . 2006-01-04 08:28 180224 ----a-w- c:\windows\system32\nvudisp.exe
.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2011-01-12 16:45 . 2004-06-25 00:13 70 ----a-w- c:\windows\HotFix.bat
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"MSMSGS"="c:\programme\Messenger\msmsgs.exe" [2004-08-04 1667584]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"AzMixerSel"="c:\programme\Realtek\InstallShield\AzMixerSel.exe" [2005-12-21 53248]
"SynTPEnh"="c:\programme\Synaptics\SynTP\SynTPEnh.exe" [2005-07-20 729177]
"IMJPMIG8.1"="c:\windows\IME\imjp8_1\IMJPMIG.EXE" [2004-08-04 208952]
"MSPY2002"="c:\windows\system32\IME\PINTLGNT\ImScInst.exe" [2004-08-04 59392]
"PHIME2002ASync"="c:\windows\system32\IME\TINTLGNT\TINTSETP.EXE" [2004-08-04 455168]
"PHIME2002A"="c:\windows\system32\IME\TINTLGNT\TINTSETP.EXE" [2004-08-04 455168]
"PCMService"="c:\programme\Acer\Acer Arcade\PCMService.exe" [2005-12-13 151552]
"igfxtray"="c:\windows\system32\igfxtray.exe" [2005-11-28 98304]
"igfxhkcmd"="c:\windows\system32\hkcmd.exe" [2005-11-28 77824]
"igfxpers"="c:\windows\system32\igfxpers.exe" [2005-11-28 118784]
"QuickTime Task"="c:\programme\QuickTime\qttask.exe" [2005-02-15 98304]
"eDataSecurity Loader"="c:\acer\Empowering Technology\eDataSecurity\eDSloader.exe" [2005-12-27 69632]
"ADMTray.exe"="c:\acer\Empowering Technology\admtray.exe" [2005-10-24 2462208]
"ccApp"="c:\programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" [2005-09-17 52848]
"SSC_UserPrompt"="c:\programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe" [2004-11-09 218240]
"ntiMUI"="c:\programme\NewTech Infosystems\NTI CD & DVD-Maker 7\ntiMUI.exe" [2005-05-11 45056]
"RTHDCPL"="RTHDCPL.EXE" [2005-12-19 15797248]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2006-01-04 7393280]
"nwiz"="nwiz.exe" [2006-01-04 1519616]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2006-01-04 86016]
"BluetoothAuthenticationAgent"="bthprops.cpl" [2004-08-04 110592]
"ePower_DMC"="c:\acer\Empowering Technology\ePower\ePower_DMC.exe" [2006-01-17 344064]
"Acer ePower Management"="c:\acer\Empowering Technology\ePower\Acer ePower Management.exe" [2006-01-16 3080192]
"LManager"="c:\progra~1\LAUNCH~1\LManager.exe" [2006-03-28 593920]
"eRecoveryService"="c:\acer\Empowering Technology\eRecovery\Monitor.exe" [2006-01-24 397312]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-04 15360]
c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\
Adobe Reader Speed Launch.lnk - c:\programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2004-12-14 29696]
BTTray.lnk - c:\programme\WIDCOMM\Bluetooth Software\BTTray.exe [2006-1-17 618557]
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
"DisableMonitoring"=dword:00000001
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
"DisableMonitoring"=dword:00000001
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\Acer\\Acer Arcade\\PCMService.exe"=
.
Inhalt des "geplante Tasks" Ordners
2011-01-13 c:\windows\Tasks\Symantec NetDetect.job
- c:\programme\Symantec\LiveUpdate\NDETECT.EXE [2005-09-22 17:23]
2011-01-13 c:\windows\Tasks\Norton AntiVirus - Vollständige Systemprüfung ausführen - MoC.job
- c:\progra~1\NORTON~1\Navw32.exe [2005-10-21 16:34]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.aceradvantage.com/stdreg
IE: Senden an &Bluetooth-Gerät... - c:\programme\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
FF - ProfilePath - c:\dokumente und einstellungen\MoC\Anwendungsdaten\Mozilla\Firefox\Profiles\yoem30kq.default\
FF - Ext: Default: {972ce4c6-7e08-4474-a285-3208198ce6fd} - c:\programme\Mozilla Firefox\extensions\{972ce4c6-7e08-4474-a285-3208198ce6fd}
.
**************************************************************************
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2011-01-13 07:17
Windows 5.1.2600 Service Pack 2 FAT NTAPI
Scanne versteckte Prozesse...
Scanne versteckte Autostarteinträge...
Scanne versteckte Dateien...
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}]
@Denied: (A 2) (Everyone)
@="FlashBroker"
"LocalizedString"="@c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10l_ActiveX.exe,-101"
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\Elevation]
"Enabled"=dword:00000001
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\LocalServer32]
@="c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10l_ActiveX.exe"
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}]
@Denied: (A 2) (Everyone)
@="IFlashBroker4"
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\ProxyStubClsid32]
@="{00020424-0000-0000-C000-000000000046}"
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
"Version"="1.0"
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------
- - - - - - - > 'explorer.exe'(2324)
c:\windows\system32\MSNChatHook.dll
c:\windows\system32\sysenv.dll
c:\windows\system32\MSVCR71.dll
c:\windows\system32\msi.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\programme\Intel\Wireless\Bin\EvtEng.exe
c:\programme\Intel\Wireless\Bin\S24EvMon.exe
c:\programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
c:\programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
c:\programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
c:\programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
c:\programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
c:\acer\Empowering Technology\admServ.exe
c:\windows\RTHDCPL.EXE
c:\windows\system32\RUNDLL32.EXE
c:\windows\system32\rundll32.exe
c:\programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
c:\programme\Acer\Acer Arcade\Kernel\TV\CLCapSvc.exe
c:\programme\Acer\Acer Arcade\Kernel\CLML_NTService\CLMLServer.exe
c:\programme\Acer\Acer Arcade\Kernel\CLML_NTService\CLMLService.exe
c:\programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
c:\programme\Norton AntiVirus\navapsvc.exe
c:\programme\Norton AntiVirus\IWP\NPFMntor.exe
c:\windows\system32\nvsvc32.exe
c:\programme\Intel\Wireless\Bin\RegSrvc.exe
c:\programme\CyberLink\Shared Files\RichVideo.exe
c:\programme\Acer\Acer Arcade\Kernel\TV\CLSched.exe
c:\dokume~1\MoC\LOKALE~1\Temp\RtkBtMnt.exe
c:\windows\system32\wbem\unsecapp.exe
c:\windows\system32\wscntfy.exe
c:\programme\Gemeinsame Dateien\Symantec Shared\Security Console\NSCSRVCE.EXE
.
**************************************************************************
.
Zeit der Fertigstellung: 2011-01-13 07:18:33 - PC wurde neu gestartet
ComboFix-quarantined-files.txt 2011-01-13 06:18
Vor Suchlauf: 11 Verzeichnis(se), 45.891.321.856 Bytes frei
Nach Suchlauf: 14 Verzeichnis(se), 45.766.082.560 Bytes frei
WindowsXP-KB310994-SP2-Home-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(2)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
UnsupportedDebug="do not select this" /debug
multi(0)disk(0)rdisk(0)partition(2)\WINDOWS="Microsoft Windows XP Home Edition" /noexecute=optin /fastdetect
- - End Of File - - B1277F70BB83AD2A365583D4E3523643
MfG MoC-Man |
|
13.01.2011, 10:50
| #7 |
| /// Winkelfunktion /// TB-Süch-Tiger™ | Neuinstallation nach TR/Cryptet.xpack.gen2 und Rootkit Viren, Schädlinge immer noch vorhanden Starte den Rechner neu und wähle im Bootmenü die Wiederherstellungskonsole aus. Tipp dort den Befehl fixmbr ein (dann Enter, mit j bestätigen) danach den Befehl fixboot (dann Enter, mit j bestätigen) Mit exit (dann enter drücken) wird der Rechner neu gestartet. Führe im normalen Windowsmodus mbrcheck nochmals aus und poste das neue Log.
__________________ Logfiles bitte immer in CODE-Tags posten |
|
13.01.2011, 12:55
| #8 |
| | Neuinstallation nach TR/Cryptet.xpack.gen2 und Rootkit Viren, Schädlinge immer noch vorhanden Mahlzeit, So habe alles Ausgeführt. MBRCheck scheint nun gut zu sein. Log Code:
ATTFilter MBRCheck, version 1.2.3
(c) 2010, AD
Command-line:
Windows Version: Windows XP Home Edition
Windows Information: Service Pack 2 (build 2600)
Logical Drives Mask: 0x0000001c
Kernel Drivers (total 201):
0x804D7000 \WINDOWS\system32\ntkrnlpa.exe
0x806E3000 \WINDOWS\system32\hal.dll
0xBADA8000 \WINDOWS\system32\KDCOM.DLL
0xBACB8000 \WINDOWS\system32\BOOTVID.dll
0xBA778000 ACPI.sys
0xBADAA000 \WINDOWS\system32\DRIVERS\WMILIB.SYS
0xBA767000 pci.sys
0xBA8A8000 isapnp.sys
0xBA8B8000 ohci1394.sys
0xBA8C8000 \WINDOWS\system32\DRIVERS\1394BUS.SYS
0xBACBC000 compbatt.sys
0xBACC0000 \WINDOWS\system32\DRIVERS\BATTC.SYS
0xBAE70000 pciide.sys
0xBAB28000 \WINDOWS\system32\DRIVERS\PCIIDEX.SYS
0xBADAC000 aliide.sys
0xBADAE000 intelide.sys
0xBADB0000 toside.sys
0xBADB2000 viaide.sys
0xBADB4000 cmdide.sys
0xBA749000 pcmcia.sys
0xBA8D8000 MountMgr.sys
0xBA72A000 ftdisk.sys
0xBACC4000 ACPIEC.sys
0xBAE71000 \WINDOWS\system32\DRIVERS\OPRGHDLR.SYS
0xBAB30000 PartMgr.sys
0xBACC8000 UBHelper.sys
0xBA8E8000 VolSnap.sys
0xBACCC000 cpqarray.sys
0xBA712000 \WINDOWS\system32\DRIVERS\SCSIPORT.SYS
0xBA6FA000 atapi.sys
0xBACD0000 aha154x.sys
0xBAB38000 sparrow.sys
0xBACD4000 symc810.sys
0xBA8F8000 aic78xx.sys
0xBACD8000 dac960nt.sys
0xBA908000 ql10wnt.sys
0xBACDC000 amsint.sys
0xBAB40000 asc.sys
0xBACE0000 asc3550.sys
0xBAB48000 mraid35x.sys
0xBAB50000 i2omp.sys
0xBACE4000 ini910u.sys
0xBA918000 ql1240.sys
0xBA928000 aic78u2.sys
0xBAB58000 symc8xx.sys
0xBAB60000 sym_hi.sys
0xBAB68000 sym_u3.sys
0xBAB70000 ABP480N5.SYS
0xBAB78000 asc3350p.sys
0xBADB6000 cd20xrnt.sys
0xBA938000 ultra.sys
0xBA6E1000 adpu160m.sys
0xBAB80000 dpti2o.sys
0xBA948000 ql1080.sys
0xBA958000 ql1280.sys
0xBA968000 ql12160.sys
0xBAB88000 perc2.sys
0xBADB8000 perc2hib.sys
0xBAB90000 hpn.sys
0xBACE8000 cbidf2k.sys
0xBA6B5000 dac2w2k.sys
0xBA978000 disk.sys
0xBA988000 \WINDOWS\system32\DRIVERS\CLASSPNP.SYS
0xBA696000 fltMgr.sys
0xBA684000 sr.sys
0xBA661000 Fastfat.sys
0xBA64A000 KSecDD.sys
0xBA61D000 NDIS.sys
0xBA998000 sisagp.sys
0xBA9A8000 viaagp.sys
0xBA602000 Mup.sys
0xBA9B8000 agp440.sys
0xBA9C8000 alim1541.sys
0xBA9D8000 amdagp.sys
0xBA9E8000 agpCPQ.sys
0xBAA08000 \SystemRoot\system32\DRIVERS\intelppm.sys
0xBAD6C000 \SystemRoot\system32\DRIVERS\wmiacpi.sys
0xBA16D000 \SystemRoot\system32\DRIVERS\nv4_mini.sys
0xBA159000 \SystemRoot\system32\DRIVERS\VIDEOPRT.SYS
0xBA134000 \SystemRoot\system32\DRIVERS\HDAudBus.sys
0xBA111000 \SystemRoot\system32\DRIVERS\b57xp32.sys
0xB9FB4000 \SystemRoot\system32\DRIVERS\w39n51.sys
0xBAC00000 \SystemRoot\system32\DRIVERS\usbuhci.sys
0xB9F91000 \SystemRoot\system32\DRIVERS\USBPORT.SYS
0xBAC08000 \SystemRoot\system32\DRIVERS\usbehci.sys
0xBAA18000 \SystemRoot\system32\DRIVERS\nic1394.sys
0xBAA28000 \SystemRoot\system32\DRIVERS\EMS7SK.sys
0xB9F80000 \SystemRoot\system32\DRIVERS\sdbus.sys
0xB9F6D000 \SystemRoot\system32\DRIVERS\ESM7SK.sys
0xBAA38000 \SystemRoot\system32\DRIVERS\ESD7SK.sys
0xBAD80000 \SystemRoot\system32\DRIVERS\CmBatt.sys
0xBAA48000 \SystemRoot\system32\DRIVERS\i8042prt.sys
0xBAC10000 \SystemRoot\system32\DRIVERS\DKbFltr.sys
0xBAC18000 \SystemRoot\system32\DRIVERS\kbdclass.sys
0xB9F16000 \SystemRoot\system32\DRIVERS\SynTP.sys
0xBADBA000 \SystemRoot\system32\DRIVERS\USBD.SYS
0xBAC20000 \SystemRoot\system32\DRIVERS\mouclass.sys
0xBAA58000 \SystemRoot\system32\DRIVERS\smcirda.sys
0xBAD84000 \SystemRoot\system32\DRIVERS\irenum.sys
0xBAA68000 \SystemRoot\system32\DRIVERS\imapi.sys
0xBAA78000 \SystemRoot\system32\DRIVERS\cdrom.sys
0xBAA88000 \SystemRoot\system32\DRIVERS\redbook.sys
0xB9E53000 \SystemRoot\system32\DRIVERS\ks.sys
0xBADBC000 \SystemRoot\system32\DRIVERS\NTIDrvr.sys
0xB9D87000 \SystemRoot\system32\DRIVERS\btkrnl.sys
0xBAF29000 \SystemRoot\system32\DRIVERS\audstub.sys
0xBAC28000 \SystemRoot\system32\DRIVERS\rasirda.sys
0xBAC30000 \SystemRoot\system32\DRIVERS\TDI.SYS
0xBAA98000 \SystemRoot\system32\DRIVERS\rasl2tp.sys
0xBAD94000 \SystemRoot\system32\DRIVERS\ndistapi.sys
0xB9D70000 \SystemRoot\system32\DRIVERS\ndiswan.sys
0xBAAA8000 \SystemRoot\system32\DRIVERS\raspppoe.sys
0xBAAB8000 \SystemRoot\system32\DRIVERS\raspptp.sys
0xB9D5F000 \SystemRoot\system32\DRIVERS\psched.sys
0xBAAC8000 \SystemRoot\system32\DRIVERS\msgpc.sys
0xBAC38000 \SystemRoot\system32\DRIVERS\ptilink.sys
0xBAC40000 \SystemRoot\system32\DRIVERS\raspti.sys
0xBAAD8000 \SystemRoot\system32\DRIVERS\termdd.sys
0xBADBE000 \SystemRoot\system32\DRIVERS\swenum.sys
0xB9D2B000 \SystemRoot\system32\DRIVERS\update.sys
0xBAD9C000 \SystemRoot\system32\DRIVERS\mssmbios.sys
0xB9CDD000 \SystemRoot\system32\drivers\btaudio.sys
0xB9CB9000 \SystemRoot\system32\drivers\portcls.sys
0xBAAE8000 \SystemRoot\system32\drivers\drmk.sys
0xBAAF8000 \SystemRoot\System32\Drivers\NDProxy.SYS
0xB7883000 \SystemRoot\system32\drivers\RtkHDAud.sys
0xB784D000 \SystemRoot\system32\DRIVERS\HSFHWAZL.sys
0xB7759000 \SystemRoot\system32\DRIVERS\HSF_DPV.sys
0xB76A8000 \SystemRoot\system32\DRIVERS\HSF_CNXT.sys
0xBAC48000 \SystemRoot\System32\Drivers\Modem.SYS
0xBAB18000 \SystemRoot\system32\DRIVERS\usbhub.sys
0xBADC4000 \SystemRoot\System32\Drivers\i2omgmt.SYS
0xBADC6000 \SystemRoot\System32\Drivers\Fs_Rec.SYS
0xBAF8F000 \SystemRoot\System32\Drivers\Null.SYS
0xBADC8000 \SystemRoot\System32\Drivers\Beep.SYS
0xBAC68000 \SystemRoot\System32\drivers\vga.sys
0xBADCA000 \SystemRoot\System32\Drivers\mnmdd.SYS
0xBADCC000 \SystemRoot\System32\DRIVERS\RDPCDD.sys
0xBAC70000 \SystemRoot\System32\Drivers\Msfs.SYS
0xBAC78000 \SystemRoot\System32\Drivers\Npfs.SYS
0xBA512000 \SystemRoot\system32\DRIVERS\rasacd.sys
0xB755D000 \SystemRoot\system32\DRIVERS\ipsec.sys
0xB7505000 \SystemRoot\system32\DRIVERS\tcpip.sys
0xB74CC000 \SystemRoot\System32\Drivers\SYMTDI.SYS
0xB74AB000 \SystemRoot\system32\DRIVERS\ipnat.sys
0xBA5D2000 \SystemRoot\system32\DRIVERS\wanarp.sys
0xB7486000 \??\C:\WINDOWS\system32\Drivers\SYMEVENT.SYS
0xBA5C2000 \SystemRoot\system32\DRIVERS\arp1394.sys
0xB745E000 \SystemRoot\system32\DRIVERS\netbt.sys
0xB743C000 \SystemRoot\System32\drivers\afd.sys
0xBA5B2000 \SystemRoot\system32\DRIVERS\netbios.sys
0xB73DA000 \??\C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCDrv.sys
0xBA4FA000 \SystemRoot\system32\DRIVERS\hidusb.sys
0xBA5A2000 \SystemRoot\system32\DRIVERS\HIDCLASS.SYS
0xBAC90000 \SystemRoot\system32\DRIVERS\HIDPARSE.SYS
0xB73C6000 \??\C:\Programme\Norton AntiVirus\SAVRTPEL.SYS
0xB739A000 \SystemRoot\system32\DRIVERS\rdbss.sys
0xBA4F2000 \??\C:\WINDOWS\system32\drivers\OsaFsLoc.sys
0xB9F69000 \SystemRoot\system32\DRIVERS\mouhid.sys
0xB732B000 \SystemRoot\system32\DRIVERS\mrxsmb.sys
0xBA592000 \SystemRoot\System32\Drivers\Fips.SYS
0xB72CD000 \??\C:\Programme\Gemeinsame Dateien\Symantec Shared\EENGINE\eeCtrl.sys
0xB72B0000 \??\C:\Programme\Gemeinsame Dateien\Symantec Shared\EENGINE\EraserUtilRebootDrv.sys
0xB71FB000 \SystemRoot\System32\Drivers\Ntfs.SYS
0xBA572000 \SystemRoot\System32\Drivers\Cdfs.SYS
0xB71E3000 \SystemRoot\System32\Drivers\dump_atapi.sys
0xBADCE000 \SystemRoot\System32\Drivers\dump_WMILIB.SYS
0xBF800000 \SystemRoot\System32\win32k.sys
0xBACA0000 \SystemRoot\System32\watchdog.sys
0xB9CA9000 \SystemRoot\System32\drivers\Dxapi.sys
0xBF9C1000 \SystemRoot\System32\drivers\dxg.sys
0xBAF13000 \SystemRoot\System32\drivers\dxgthk.sys
0xBF9D3000 \SystemRoot\System32\nv4_disp.dll
0xBACA8000 \SystemRoot\system32\DRIVERS\AegisP.sys
0xB6654000 \SystemRoot\system32\DRIVERS\irda.sys
0xB678A000 \SystemRoot\system32\DRIVERS\s24trans.sys
0xB676E000 \SystemRoot\system32\DRIVERS\ndisuio.sys
0xBA562000 \SystemRoot\System32\Drivers\SYMREDRV.SYS
0xBACB0000 \SystemRoot\System32\Drivers\SYMDNS.SYS
0xB5C14000 \SystemRoot\System32\Drivers\SYMNDIS.SYS
0xB5ABE000 \SystemRoot\System32\Drivers\SYMFW.SYS
0xB5C04000 \SystemRoot\System32\Drivers\SYMIDS.SYS
0xB5A77000 \??\C:\PROGRA~1\GEMEIN~1\SYMANT~1\SymcData\IDS-DI~1\20110108.001\symidsco.sys
0xB5882000 \SystemRoot\system32\drivers\wdmaud.sys
0xB5A57000 \SystemRoot\system32\drivers\sysaudio.sys
0xB5676000 \SystemRoot\system32\DRIVERS\mrxdav.sys
0xBABC0000 \??\C:\WINDOWS\system32\drivers\btserial.sys
0xBAF36000 \??\C:\WINDOWS\system32\drivers\epm-psd.sys
0xB5572000 \??\C:\WINDOWS\system32\drivers\epm-shd.sys
0xB54F7000 \SystemRoot\system32\DRIVERS\srv.sys
0xB5662000 \SystemRoot\system32\DRIVERS\mdmxsdk.sys
0xBAE08000 \??\C:\WINDOWS\system32\drivers\osaio.sys
0xBAFB6000 \??\C:\WINDOWS\system32\drivers\osanbm.sys
0xBABC8000 \??\C:\WINDOWS\system32\drivers\symlcbrd.sys
0xB5017000 \??\C:\Programme\Norton AntiVirus\SAVRT.SYS
0xB4ECC000 \??\C:\PROGRA~1\GEMEIN~1\SYMANT~1\VIRUSD~1\20110112.002\NavEx15.Sys
0xB4EB8000 \??\C:\PROGRA~1\GEMEIN~1\SYMANT~1\VIRUSD~1\20110112.002\NAVENG.Sys
0xB4975000 \SystemRoot\System32\Drivers\HTTP.sys
0xBAE0E000 \SystemRoot\System32\Drivers\NdisFilt.sys
0xB4914000 \??\C:\Acer\Empowering Technology\eRecovery\int15.sys
0x7C910000 \WINDOWS\System32\ntdll.dll
Processes (total 56):
0 System Idle Process
4 System
840 C:\WINDOWS\System32\smss.exe
900 csrss.exe
924 C:\WINDOWS\System32\winlogon.exe
972 C:\WINDOWS\System32\services.exe
984 C:\WINDOWS\System32\lsass.exe
1136 C:\WINDOWS\System32\svchost.exe
1220 svchost.exe
1364 C:\WINDOWS\System32\svchost.exe
1432 C:\Programme\Intel\Wireless\Bin\EvtEng.exe
1464 C:\Programme\Intel\Wireless\Bin\S24EvMon.exe
1584 svchost.exe
1724 svchost.exe
1996 C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
1308 C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
1320 C:\WINDOWS\Explorer.EXE
1824 C:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe
1844 C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
1876 C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
148 C:\WINDOWS\System32\spoolsv.exe
556 C:\Programme\Symantec\LiveUpdate\AluSchedulerSvc.exe
580 C:\Acer\Empowering Technology\admServ.exe
608 svchost.exe
672 C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
700 C:\Programme\Acer\Acer Arcade\Kernel\TV\CLCapSvc.exe
692 C:\Programme\Acer\Acer Arcade\Kernel\CLML_NTService\CLMLServer.exe
752 C:\Programme\Acer\Acer Arcade\Kernel\CLML_NTService\CLMLService.exe
764 C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
1552 C:\Programme\Norton AntiVirus\navapsvc.exe
1764 C:\Programme\Norton AntiVirus\IWP\NPFMntor.exe
188 C:\WINDOWS\System32\nvsvc32.exe
1204 C:\Programme\Intel\Wireless\Bin\RegSrvc.exe
448 C:\Programme\CyberLink\Shared Files\RichVideo.exe
324 C:\Programme\Acer\Acer Arcade\Kernel\TV\CLSched.exe
2280 wmiprvse.exe
2372 C:\Programme\Synaptics\SynTP\SynTPEnh.exe
2480 C:\Programme\Acer\Acer Arcade\PCMService.exe
2588 C:\Programme\QuickTime\qttask.exe
2620 C:\Acer\Empowering Technology\eDataSecurity\eDSloader.exe
2628 C:\Acer\Empowering Technology\admtray.exe
2640 C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
2696 C:\WINDOWS\RTHDCPL.EXE
2744 C:\WINDOWS\System32\rundll32.exe
2756 C:\Acer\Empowering Technology\ePower\ePower_DMC.exe
2776 C:\Programme\Launch Manager\LManager.exe
2796 C:\Acer\Empowering Technology\eRecovery\Monitor.exe
2852 C:\Programme\Messenger\msmsgs.exe
2920 C:\Programme\WIDCOMM\Bluetooth Software\BTTray.exe
3224 C:\WINDOWS\System32\wbem\unsecapp.exe
3296 wmiprvse.exe
3480 C:\Dokumente und Einstellungen\MoC\Lokale Einstellungen\Temp\RtkBtMnt.exe
3996 C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
356 alg.exe
2512 C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Console\NSCSRVCE.EXE
3428 C:\Dokumente und Einstellungen\MoC\Desktop\MBRCheck.exe
\\.\C: --> \\.\PhysicalDrive0 at offset 0x00000001`384c7a00 (FAT32)
\\.\D: --> \\.\PhysicalDrive0 at offset 0x0000000e`85adbe00 (NTFS)
PhysicalDrive0 Model Number: TOSHIBAMK1234GSX, Rev: AH001A
Size Device Name MBR Status
--------------------------------------------
111 GB \\.\PhysicalDrive0 Windows XP MBR code detected
SHA1: DA38B874B7713D1B51CBC449F4EF809B0DEC644A
Done!
Is es besser das ganze System mit CD neu aufzusetzen, habe jetzt bei Acer die RecoveryCDs angefordert, da ich der Partition nicht mehr so wirklich vertraue. Beste Grüße |
|
13.01.2011, 13:06
| #9 |
| /// Winkelfunktion /// TB-Süch-Tiger™ | Neuinstallation nach TR/Cryptet.xpack.gen2 und Rootkit Viren, Schädlinge immer noch vorhanden Mit CDs ist schon ein bisschen sicherer. Achte darauf, dass die Systempartition NTFS bekommt, die ist jetzt bei dir nur FAT32.
__________________ Logfiles bitte immer in CODE-Tags posten |
|
13.01.2011, 14:12
| #10 |
| | Neuinstallation nach TR/Cryptet.xpack.gen2 und Rootkit Viren, Schädlinge immer noch vorhanden Also, ein rießen Dankeschön, von meiner Seite. Ich hoffe das wars jetzt. Die CDs bekomm ich leider erst im laufe der nächsten Tage, ich werde das System vorher einfach mal von der Partition neuinstallieren und mal kucken wies ausschaut. Das System hatte ich schon mal auf NTFS, keine Ahnung warum das wieder FAT ist, aber ist ja zum glück kein Thema das zu ändern. Was mich aber immer noch beunruhigt sind diese 2 Dateien, die ich in C:\Windows\Temp habe. s.O. Ich habe ein wenig gegooglt und habe gelesen, dies sollten Dateinbank archive sein, die Trojaner dazu verwenden Passwörter und LoginID zu Sammeln und an den Hacker zu schicken, das macht mich ein wenig nervös. Firefox und McAffe sollen diese Dateien zwar ebenfalls nutzen, ich hatte aber nach dem Neuaufsetzen keines von beiden Installiert. mfg MoC-Man |
|
13.01.2011, 15:09
| #11 | |
| /// Winkelfunktion /// TB-Süch-Tiger™ | Neuinstallation nach TR/Cryptet.xpack.gen2 und Rootkit Viren, Schädlinge immer noch vorhandenZitat:
1) Start, Ausführen, cmd eintippen und ok
__________________ Logfiles bitte immer in CODE-Tags posten |
|
17.01.2011, 15:03
| #12 |
| | Neuinstallation nach TR/Cryptet.xpack.gen2 und Rootkit Viren, Schädlinge immer noch vorhanden Hallo, ich bins nochmal. Leider nicht von meinem PC aus. Wollte nur schnell eine kleine ergänzung schreiben,für alle die das gleiche problem haben und vielleicht hier mitlesen. Wenn man den MBR und die ersten Bootsektoren fixt, kann man nicht mehr von der versteckten sicherheits partition booten um Windows neu aufzusetzen, da diese Infos scheinbar im MBR gespeichter werden. Warte nun auf meine Recovery Discs. Mfg |
|
17.01.2011, 15:10
| #13 | |
| /// Winkelfunktion /// TB-Süch-Tiger™ | Neuinstallation nach TR/Cryptet.xpack.gen2 und Rootkit Viren, Schädlinge immer noch vorhandenZitat:
__________________ Logfiles bitte immer in CODE-Tags posten |
|
18.01.2011, 21:13
| #14 |
| | Neuinstallation nach TR/Cryptet.xpack.gen2 und Rootkit Viren, Schädlinge immer noch vorhanden Freut mich auch etwas nützliches an die allgemeinheit weitergegeben zu haben. |
|
| Themen zu Neuinstallation nach TR/Cryptet.xpack.gen2 und Rootkit Viren, Schädlinge immer noch vorhanden |
| acer laptop, antivir, avira, dateien, einstellungen, formatieren, internet, kaspersky, log, löschen, malwarebytes, namen, neue, ordner, problem, rootkit, scan, schädlinge, seiten, suche, system, temp, trojaner, viren, windows |
Linear-Darstellung
